django文档中介绍的处理ajax post时,头中添加csrf token的方法

最新推荐文章于 2024-06-05 09:34:58 发布
最新推荐文章于 2024-06-05 09:34:58 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 研究过 文章标签: CSRF

https://docs.djangoproject.com/en/2.0/ref/csrf/#ajax


AJAX

While the above method can be used for AJAX POST requests, it has someinconveniences: you have to remember to pass the CSRF token in as POST data withevery POST request. For this reason, there is an alternative method: on eachXMLHttpRequest, set a custom X-CSRFToken header to the value of the CSRFtoken. This is often easier, because many JavaScript frameworks provide hooksthat allow headers to be set on every request.

上面的方法在每个post时,都要将CSRF token作为post数据来传,不方便,可以设置一个值为CSRFtoken的X-CSRFToken头,这样就能一劳永逸。

Acquiring the token is straightforward:

// using jQuery
function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie !== '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) === (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}
var csrftoken = getCookie('csrftoken');

如果嫌上述函数实现复杂,可以试试下面的实现,区别是,需要引入

JavaScript Cookie:

<script src="https://cdn.jsdelivr.net/npm/js-cookie@2/src/js.cookie.min.js"></script>

The above code could be simplified by using the JavaScript Cookie library to replace getCookie:

var csrftoken = Cookies.get('csrftoken');



以下描述的是:给ajax设置一个头的X-CSRFToken属性,这样每次发起post时,这个X-CSRFToken属性会自动加入post的信息中。

仔细看,可以猜到:beforeSend: function是一个类似callback的函数,每当post发起时,执行这个函数。函数里的if还做了判断,如果不是同一个域的请求,就不发送csrftoken。

Setting the token on the AJAX request

Finally, you’ll have to actually set the header on your AJAX request, whileprotecting the CSRF token from being sent to other domains usingsettings.crossDomain in jQuery 1.5.1and newer:

function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});




说明文档中还介绍了另外一种取csrftoken的方法:将csrftoken明文写入网页,在通过jquery取csrftoken值。

Acquiring the token if CSRF_USE_SESSIONS is True

If you activate CSRF_USE_SESSIONS, you must include the CSRF tokenin your HTML and read the token from the DOM with JavaScript:

{% csrf_token %}
<script type="text/javascript">
// using jQuery
var csrftoken = jQuery("[name=csrfmiddlewaretoken]").val();
</script>

这里说的是:如果if CSRF_USE_SESSIONS is True,可以直接从html页面读取token的值。而且方法非常简单。(满足一般情况)



梓沂
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全开发 | 如何让Django框架CSRF_Token通过AJAXPOST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。 教你如何在AJAX请求上设置令牌。
Django+PostMan的post请求403了应该怎么办?
llsixly
03-31 5415
文章目录背景介绍解决步骤1.获取cookie,并设置PostMan全局变量2.把csrftoken设置到post请求的参数3.添加Referer头 背景介绍 晚上在测试一个接口,一直用网页调试太麻烦了,所以尝试用postman测试。 这次的项目没有向上次一样设置跨域,那应该如何处理这个问题呢? (再次吐槽百度,搜索出来都是要人直接关掉csrf间件的。。这为了不上厕所你就不吃东西了??重复来重复去,都是用的同一篇文章。) 解决步骤 我尽量把步骤写的详细一点,所以大家还请耐心看。 1.获取cookie,并
44.vue-element-admin在header里增加X-CSRFToken
最新发布
智盟科技智能制造团队的博客
06-05 245
是一种安全机制,用于跨站请求伪造保护。在Vue.js项目,可能使用了Django框架,而Django要求所有的POST请求携带一个CSRF token来验证请求的合法性。
Ajaxpost请求跨站请求csrf_token发送处理de三种方式
Quincy.Coder的博客
11-14 5881
方式一:$.post({ url: '/get_result/', data: { value0: $('#v1').val(), value1: $('#v2').val(), csrfmiddlewaretoken: '{{ csrf_token }}' }
Ajax提交携带csrf_tokenpost请求
zy_whynot的博客
10-15 999
django项目通常后端在接收到post请求都会在CsrfViewMiddleware校验csrf_token,如果前端的post请求没有携带csrf_token参数,后端就会报错,缺少csrf_token。 1、表单提交Post请求,隐藏字段就保存的csrf_token的值; 2、有些情况除了表单参数还有其他数据: (1)获取表单对象,直接往表单对象添加数据,然后提交; (2)自己组装JSON格式的数据,通过ajax发起请求,直接把csrf_token做为一个参数即可: var post_data
Laravel(在前后端分离,存在跨域)的api(只在post请求)如何验证X-CSRF-TOKEN
fyonecon
11-05 3497
参考1:https://segmentfault.com/q/1010000003038534《aravel 在做api接口的候如何验证 X-CSRF-TOKEN》 参考2:https://laravel-china.org/docs/laravel/5.4/csrf/1228#CSRF- 《Laravel 下的伪造跨站请求保护 CSRF》 Laravel版本:55 写api...
django使用post方法,需要增加csrftoken的例子
09-17
Django框架,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器利用已登录用户的权限...
Djangoajax发送post请求 报403错误CSRF验证失败解决方案
12-31
今天学习Django框架,用ajax向后台发送post请求,直接报了403错误,说CSRF验证失败;先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了;很显然,用ajax发送post请求这样就白搭了; 文末...
Django解决Ajaxpost提交数据403的代码
09-15
在发送Ajax POST请求,需要将CSRF令牌作为`X-CSRFToken`请求头的一部分: ```javascript $.ajax({ type: 'POST', url: '/your/django/view/url/', data: yourData, // 要发送的数据 beforeSend: function(xhr...
django框架ajax的使用及避开CSRF 验证的方式详解
09-18
本文将详细介绍如何在Django使用Ajax以及如何避免CSRF验证。 首先,让我们了解Ajax的基本原理。Ajax全称为Asynchronous JavaScript And XML,即异步JavaScript和XML。它允许我们在不刷新整个页面的情况下,通过...
Postman CSRF 配置
优秀的亮亮
06-25 2998
很多候,由于后端做了CSRF安全配置,测试接口,发送一些请求可能会比较麻烦,也需要对CSRF做相应的配置。 Postman 在每个接口发送请求之前会执行里的脚本,在发送请求之后会执行里的脚本。我们需要在请求发送之后,获取的值,然后将这个值保存在集合变量域内。在下一次发送请求前,从集合变量域内取出的值,然后将这个值添加请求头里。以此实现模拟前端的CSRF配置。之所以选择集合变量域,是因为经常将同一个项目站点的接口放在同一个集合下,这样可以保证同一个项目复用同一个c......
django使用post方法,需要增加csrftoken
qq_27361945的博客
03-13 3589
从百度查到在django,使用post方法,需要先生成随机码,以防止CSRF(Cross-site request forgery)跨站请求伪造,并稍加修改:注:这是一个js文件,需要引入到html模板:&lt;script src="/static/javascript/post_need_csrftoken.js"&gt;&lt;/script&gt;这样做比使用{% csrf_toke...
Django:Ajaxcsrf_token
HR_tigerking的博客
12-20 968
起因:Ajax提示403错误 闲言碎语:据课程结束还有一周多,js杀我,要加油加油。 CSRF(Cross Site Request Forgery protection),文简称跨站请求伪造。 django为用户实现防止跨站请求伪造的功能,通过间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django设置防跨站请求伪造功能有分为全局...
Django 024】间件Middleware(三):Django自带csrf间件源码分析以及跳过csrf报错的四种方法
T型人小付的博客
04-17 885
Django作为一个重量级框架,其已经事先为我们内置了很多安全模块,CSRF间件就是其之一。那么究竟什么是CSRF,其间件工作原理是怎样的,我们又应该如何去使用CSRF呢。这一篇文章我们一起来深入学习一下。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录什么是CSRFCSRF的防范策略Django的...
Django网络安全】如何正确防护CSRF跨站点请求伪造
黎明总是如期而至
04-09 721
CSRF(Cross-site request forgery),文名跨站点请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器的凭据,打算恶意访问您的网站并执行某些操作,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站点诱使用户的浏览器使用他人的凭据登录站点。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
Django使用Ajax使用CSRF保护
silent_missile的博客
11-05 816
Django使用Ajax使用CSRF保护需要服务器设置CSRF的相关选项。并且在客户端读取特定的信息,然后采用特定的格式发送给服务器才能正确处理
ApiPost设置预执行脚本获取token,并设置给请求头
热门推荐
lixianhe的博客
06-21 1万+
ApiPost设置预执行脚本获取token,并设置给请求头
ajax post csrf,django文档介绍处理ajax_post头中添加csrf_token方法
weixin_42347750的博客
08-06 284
AJAX¶While the above method遇新是直朋能到 can be used for AJAX POST requests, it has someinconveniences: you have to remember to pass the CSRF token in as POST data withevery POST request. For this reason, t...
ajax传递token的两种方法
weixin_37842058的博客
11-30 3447
放在请求头 $.ajax({ type: "post", url: "http:///test/getInfo", headers: { //请求头 Accept: "application/json; charset=utf-8", token: "" + token //这是获取的token
基于django使用ajax发送post请求,都可以使用哪种方法携带csrf token
03-24
你可以使用 jQuery 的 ajax 函数在请求头携带 CSRF token,以确保安全性。可以这样设置: ```javascript $.ajaxSetup({ beforeSend: function(xhr, settings) { xhr.setRequestHeader('X-CSRFToken', $('input[name="csrfmiddlewaretoken"]').val()); } }); ``` 同,还可以在表单提交之前使用 jQuery 选择器获取 CSRF token 值,并将其添加到 data 或 postData : ```javascript var csrftoken = $('input[name="csrfmiddlewaretoken"]').val(); $.ajax({ url: 'your-url-here', type: 'POST', data: { 'csrfmiddlewaretoken': csrftoken, // other form data here }, success: function(data) { console.log(data); } }); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值